早前有網友問如何去製作一個Risk-control Matrix,其實RCM有很多款式,內容也很不同,有些很詳細,有些則很簡單。至於要使用那一款,則要視乎用家的目的。
很多時候我們都需要製作RCM,例如進行內部控制審核 (Internal control review),或者風險評估 (Risk assessment),又或者製訂內控流程。
基本而言,RCM應至少包括下列幾項﹕
1)Risk
2)Control (control number, description, key control or not)
3)Assertion (completeness, existence, valuation, authorization, rights & disclosure)
4)Related cycle / processes
例子如下:
另外,製作RCM有兩個方向,一個是Risk-to-control,另一個是Control-to-Risk。顧名思義,Risk-to-control是先定下所有的Risk items,然後就每一個item配上相關的Controls。Control-to-Risk則是先記錄所有的Controls,然後就每一個Control配上相關的Risks。
或許有人會問何時用Risk-to-control,何時則用Control-to-Risk。以我自己的經驗,例如為某個流程進行首次的內控審核時,我通常會以Risk-to-control來編制RCM,這樣的話就能確保所有風險沒有遺漏。又例如進行Compliance review時要為現在的內控做記錄,我則會以Control-to-Risk來編制。
以下的RCM就是以Control-to-Risk來編制,在右手邊加上Testing procedures及Testing result,這就能變成一個Audit program了,既方便又省時。
以上的全只是我的個人經驗,沒有與書本對照過,如有錯漏或補充,歡迎留言指正。
&&&&&&&&
Several national or international standards related to risk management were shown as follows.
回覆刪除- AS/NZS 4360:1999
- AIRMIC, ALARM, IRM: 2002
- ISO 14971:2007 (for Medical Device)
- ISO 27005:2008 (for Information Security)
- BS 31100:2008
- ISO 31000:2009, etc.
Hi 劍虹兄:
回覆刪除多謝分享^^
Assertion 有時真係唔易分類!
回覆刪除特別係operation risk 或 compliance risk 上面!
所以我習慣把assertion放係後少少!
個人習慣係risk會放係第一行,因為由risk開始再去找相對control 會易d發現有咩control 係miss左。
另外process個到我都會加入process owner 入去!o甘會易d睇到 segregation of duties 有冇問題。
哇兄,你講既risk會放係第一行既做法,就係我所講既risk-to-control approach. 我做operation review 時經常會用的^^
回覆刪除謝謝分享:)
回覆刪除解說的很清楚,謝謝。
回覆刪除